Obdelava podatkov s pomočjo cloud storitev

Sodelovanje upravljavcev s ponudniki oblačnih storitev kot obdelovalci podatkov

Shranjevanje podatkov v oblaku (ang. cloud) je priljubljeno med uporabniki, med katerimi se znajdejo tudi organizacije, ki so hkrati upravljavci raznoraznih zbirk osebnih podatkov. Oblačne storitve predstavljajo odličen način za hrambo teh zbirk podatkov in tudi varnostnih kopij podatkov.

Informacijski pooblaščenec opozarja na to, da morajo biti tisti upravljavci, ki so uporabniki oblačnih storitev posebej pozorni na naslednje dolžnosti po pravu varstva osebnih podatkov:

  • pogodbena obdelava,
  • zavarovanje osebnih podatkov in
  • iznos podatkov v tretje države.

Uporabnik storitev računalništva v oblaku se šteje za upravljavca, ponudnik takih storitev pa za obdelovalca podatkov, ki za naročnika (uporabnika) oz. upravljavca izvaja določena ravnanja z osebnimi podatki. V povezavi s tem morata upravljavec in obdelovalec skleniti ustrezno pogodbo o obdelavi osebnih podatkov, skladno z 28. členom GDPR. Obdelava osebnih podatkov je dopustna praksa pod pogojem, da so vzpostavljene varovalke, pri čemer je bistveno, da upravljavec lahko računa na določeno raven zavarovanja podatkov s strani (pogodbenega) obdelovalca in njegovih podizvajalcev (pod-obdelovalcev). Podizvajalci morajo zagotavljati enako raven zavarovanja kot ponudniki – prenos pooblastil s ponudnika na podizvajalca ne sme pomeniti znižanja ravni zavarovanja osebnih podatkov.

Informacijski pooblaščenec upravljavcem priporoča, da pred odločitvijo o iznosu osebnih podatkov v »oblak« izvedejo temeljite analize tveganj in zlasti občutljivih osebnih podatkov oz. podatkov z višjo stopnjo tveganja ne prenašajo v oblak. Upravljavec osebnih podatkov je namreč primarno tisti, ki nosi odgovornost zlorabe osebnih podatkov. Zagotoviti mora, da tudi njegovi pogodbeni obdelovalci (ponudniki storitev in rešitev, ki jih uporablja), lahko nudijo takšno stopnjo varstva. Transparentnost ponudnikov storitev oblačne hrambe podatkov je bistvena.

Naročnikom oz. uporabnikom oblačnih storitev mora ponudnik oblačnih storitev jasno predstaviti, kje se bodo obdelovali osebni podatki, kako bo zagotovljena njihova zaupnost, celovitost in razpoložljivost, v katerih (tretjih) državah se bodo obdelovali, kdaj in kako bodo uničeni po preteku pogodbe, kateri podizvajalci bodo sodelovali ter kako bodo sodelovali pri obdelavi podatkov.